Comments 37
UFO just landed and posted this here
У меня сложилась культура работы: port knoking + проброс порта на веб интерфейс через ssh (что-то вроде: ssh -L 80:127.0.0.1:80 user@routeros_IP)
Плюсы: динамический ACL — защищает от не прошенных коннектов. SSH шифрует траффик, в т.ч. авторизацию в веб интерфейс. SSH работает из коробки, нет нужны запариваться с настройкой VPN.
Но тут кому что нравится и кто какие плюсы\минусы для себя находит
Плюсы: динамический ACL — защищает от не прошенных коннектов. SSH шифрует траффик, в т.ч. авторизацию в веб интерфейс. SSH работает из коробки, нет нужны запариваться с настройкой VPN.
Но тут кому что нравится и кто какие плюсы\минусы для себя находит
0
В changelog к обновлённым версиям — лаконичное:
fixed http server vulnerability
Раскрытие такой уязвимости сильно ударит по их коммерческой составляющей, ибо МикроТик за ними не следят на этапе разработки.
-1
Зачем покупать Mikrotik и потом использовать дефолтную конфигурацию?
-2
Петя Ламерский хочет домой фифи, а поскольку его два последних роутера прожили по году (успев задолбать петю своими зависаниями), то он спрашивает у сисадмина Васи Сетевского «а что мне поставить, чтобы не сдохло», сисадмин советует микротик, радужно описывая, что та мелкая коробочка за 2тр умеет тоже, что и кошка за 150000р. Петя покупает, включает и офигевает от того «уёё, а как это настроить то, Ваааасяяяя» Вася говорит ему «Вон, как открылось — там квик сетуп есть, введи там от провайдера что дают и пароль для фифи». Петя вводит и понимает, что усё работает…
+5
Я не об этом говорил, на самом деле. Я говорил о людях, которые осознанно покупают Mikrotik, зная что делают. Но в вашей истории злодей — сисадмин Вася. Не надо советовать устройства такого типа Петям. Петям надо чтобы включил и работает. С тем же успехом можно посоветовать какой-нибудь Juniper SRX100.
0
Как будто в условном asus-шайтан-500-машина с безопасностью из коробки всё хорошо.
Микротики в линейке hAP AC повернулись лицом к клиенту и их _нужно_ советовать покупать всем домашним пользователям. И да, quick setup там теперь выполняет свою задачу, так что проблем с настройкой у среднего человека не возникнет.
Микротики в линейке hAP AC повернулись лицом к клиенту и их _нужно_ советовать покупать всем домашним пользователям. И да, quick setup там теперь выполняет свою задачу, так что проблем с настройкой у среднего человека не возникнет.
+4
Не вижу ни одной причины, чтобы не советовать надежную, производительную и безопасную железку. Уже одного факта, что маршрутизатор гарантированно не виснет, достаточно для его рекомендации. Настраивать там нечего — большинство владельцев воткнёт ethernet-кабель от провайдера в порт 1 и больше им ничего делать не нужно, а если и понадобится что-то, то через веб-интерфейс он всё необходимое увидит прямо на главной странице настроек — в точности, как у дешевых Dlink, Tp-link, Asus.
+2
Вот я покупаю микротик, осознавая, что я делаю. И во многих случая мне реально не надо менять ничего, что выходит за страничку quick setup (ну разьве что докинуть пару правил в фаервол и сторожевой таймер поднастроить). Ибо тут я за 5 т.р. получаю гораздо более надёжную железку, чем теже яйца от фирм на буквы Л, Д, А, Н. Причём иногда получается даже дешевле.
Как пример — самый дешманский routerboard (rb751) у меня спокойно тянул два месяца организацию со 100+ машинами на 100мбит канале (пока не приехал RB1100)
Как пример — самый дешманский routerboard (rb751) у меня спокойно тянул два месяца организацию со 100+ машинами на 100мбит канале (пока не приехал RB1100)
0
Так я не спорю что MT делают клёвые железки. Я с RouterOS работаю еще со времён 2.x. Сейчас у меня около десятка разных приборов крутятся — от RB951 до CCR1036 — по соотношению цена/функциональность/качество конкурентов пока нет. Но имея RouterOS, использовать только функции quick setup это всё равно что микроскопом гвозди забивать.
0
Ну пока на рынке, для забивания гвоздей, есть только детские пластиковые молоточки и микроскопы, при одинаковой цене, приходится выбирать микроскопы. А в ряде случаев микроскопы еще и дешевле выходят.
+2
Если железка А обеспечивает требуемый функционал, но порой глючит, а железка Б обеспечивает требуемый функционал и ещё кучу всего и при всем этом не глючит — что вы купите, если они стоят практически одинаково?
+2
Ну хз, я у кого не спрашивал сейчас все советуют микротик. Я не сетевик и не сисадминский гуру, до этого был зюхель кинетик, который ушёл родителям, а до этого тплинк, а до этого длинк… Сейчас использую RB951Ui-2HnD. Да, с наскоку его не настроить, функций не миллион, а миллиард, но quick setup поначалу всё решил и отлично работает с дефолтными настройками. Могу сказать что по стабильности работы и заявленной/ожидаемой производительности Микротик у меня на 1м месте, причём далеко от преследователей. Понятно что я использую лишь пару процентов функциональности этого роутера, но есть ли простая (ламерская) альтернатива в которой есть кнопка «сделать хорошо» и она будет работать 24/7?
0
Перепрошить зависающий роутер нормальной прошивкой.
0
Скажите, какую прошивку зашить в китайский блок питания. И ещё, какую прошивку зашить в DC/DC конвертер, который сделали с ошибками. Если что, это крупные косяки некоторых дешевых роутеров.
0
Перепрошить зависающий роутер нормальной прошивкой.
Что имеется в виду под «нормальной прошивкой»? DD-WRT, OpenWRT? Ну, если много свободного времени — можно попробовать. Хотя не все роутеры поддерживают её. Не проще ли купить железку, которую не нужно перепрошивать, изучая мануалы и надеясь, что после перепрошивки железка не превратится в крипич?
+1
Вся эта эпопея с доведением убого девайса до ума всё равно заканчивается покупкой качественного роутера с нормальной родной прошивкой.
0
UFO just landed and posted this here
Вы предлагаете продавать их только после прохождения идиотен-теста?
Загнётся такой вендор.
Загнётся такой вендор.
0
UFO just landed and posted this here
Зря вы так. Кому нужны ваши тесты?
Если пользователя заботит безопасность — он сменит пароль.
Если же пользователь совершенно не против того что его пароль открыт — что в этом плохого.
Это точно так же как запирать квартиру на ключ.
Если я захочу я положу ключ от квартиры под коврик у двери. Что в этом плохого?
Если пользователя заботит безопасность — он сменит пароль.
Если же пользователь совершенно не против того что его пароль открыт — что в этом плохого.
Это точно так же как запирать квартиру на ключ.
Если я захочу я положу ключ от квартиры под коврик у двери. Что в этом плохого?
0
В Минске некоторые провайдеры, ставя абонентам GPON дают абоненту роутеры MikroTik.
Ну и такие абоненты, естественно не бум-бум в них.
Ну и такие абоненты, естественно не бум-бум в них.
0
Затем, чтобы с чего-то начинать. Не все же родились со знанием всего и сразу. Хотя выражение «я купил микротик и снес заводскую настройку» теперь такое же модное, как «я не смотрю телевизор».
0
Да проблем и без дефолтной конфигурации хватает. Множество людей настраивают оборудование по инструкциям из этих ваших интернетов… Чего уж говорить, даже на хабре в какой-то статье про микротик netmap назвали улучшенной версией dst-nat… И куча вопросов по этому netmap вечно возникает… И это, вроде как, сисадмины… Так что…
0
У микротика и официальная документация написана так себе: очень много наивных howto и довольно вольные формулировки.
0
Вот хорошо, что Вы про netmap знаете ответы. Просто я так и не понимаю, что правильней, что лучше и почему, в случае:
chain=dstnat action=netmap to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
или
сhain=dstnat action=dst-nat to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
Можете объяснить? Спасибо.
chain=dstnat action=netmap to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
или
сhain=dstnat action=dst-nat to-addresses=XXX.XXX.XXX.XXX to-ports=XXXX protocol=tcp in-interface=WAN dst-port=YYYY
Можете объяснить? Спасибо.
0
Хм. Ну если по простому:
если у вас 2 набора сетей, например, VPN между офисами и в обоих сетях одна подсеть, например 192.168.0.0/24, то используйте netmap.
если вы хотите внешний запрос к внешнему IP направить на внутренний сервер, то есть, например веб сервер опубликовать или на RDP сервер редирект сделать с внешнего IP, то используйте dst-nat
0
Некоторые оставляют веб-интерфейс доступным наружу, чтобы смотреть графики или конфигурить что-то.
0
Я сам обычно веб на микротике сразу убиваю, и сколько видел чужих настроек, в большинстве тоже вырублен. Это так, кто по дефолту все оставляет, но это проблема у многих вендоров есть. Особенно открытый WiFi :)
0
Странно наблюдать за двойными стандартами государств, которые ищут уязвимости что бы потом использовать, при этом нарушая свои же собственные законы.
0
Думаю, не лишним будет отметить, что подобная уязвимость может эксплуатироваться даже если доступ к WebFig разрешен только с одного локального адреса. Например различные эксплоит-паки на которые каждый может напороться случайно в сети вполне могут содержать ссылки вида http://192.168.88.1/vulnerable_url (192.168.88.0/24 — дефолтная сеть в микротиках). Ваш браузер молча перейдет по ссылке и роутер будет скомпрометирован.
Я бы вообще не рекомендовал использовать веб-интерфейс нигде и никогда. Либо использовать на нестандартных адресах/портах либо с доступом только с адреса с которого никто не занимается веб-серфингом.
Я бы вообще не рекомендовал использовать веб-интерфейс нигде и никогда. Либо использовать на нестандартных адресах/портах либо с доступом только с адреса с которого никто не занимается веб-серфингом.
+1
Sign up to leave a comment.
Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен